Neue EU-Datenschutz-Grundverordnung Pflicht – Hohe Geldstrafen bei Verstoß
Die neue EU-Datenschutz-Grundverordnung ist in aller Munde und sorgt in manchen Unternehmen für Panik und viele Fragezeichen. Es geht dabei um einen Gesetzesentwurf, welcher am 25.05.2016 in Kraft getreten ist und bis 25.05.2018 in allen Unternehmen mit einer Niederlassung im EU-Gebiet umgesetzt werden muss.
Das zentrale Ziel der Gesetze ist ein einheitlicher Schutz personenbezogener Daten. Bei Verstoß gegen die Verordnung drohen Strafen bis zu 20 Millionen Euro bzw. bis zu 4% des Jahresumsatzes aus 2017.
Welche Auswirkungen hat die EU-Datenschutz-Grundverordnung (DSGVO) auf SAP ERP HCM und wie können Sie sich vorbereiten?
V
on den Umstellungen sind auch die Prozesse der SAP ERP HCM Module betroffen. In den HCM Modulen werden personenbezogene Mitarbeiterdaten verwaltet und verarbeitet. Grundsätzlich sind die Verarbeitungsprozesse dieser Daten im SAP System nicht auf die neue Datenschutzgrundverordnung (DSGVO) ausgelegt. Um Verstöße gegen die Gesetze zu vermeiden, sind folgende drei Merkmale besonders zu beachten:
1) Die zweckmäßige Verwendung von Daten
Grundsätzlich war die zweckmäßige Verwendung von Daten bereits vor der Einführung der neuen EU-Datenschutzverordnung in SAP ERP HCM vorgesehen. Mit den neuen Gesetzen wird hierbei jedoch ein einheitliches und striktes Vorgehen beschrieben, welches für alle Unternehmen verbindlich ist.
Welche Daten dürfen von wem gelesen oder geändert werden? Nutzer sollen nur die Daten einsehen dürfen, welche für ihre Arbeit notwendig sind. Werden zum Beispiel Stammdatenänderungen im HR Service Center durchgeführt, so darf der entsprechende SAP Nutzer die Bankdaten des Mitarbeiters einsehen, die monatlichen Entgeltabrechungen jedoch nicht.
Wer darf wen sehen? Nutzer dürfen nur Daten von Mitarbeitern einsehen, welche von Ihnen betreut werden. Ein Personalreferent für den Bereich “Vertrieb Deutschland” soll zum Beispiel nur die Daten von Mitarbeiter einsehen dürfen, welche im Vertrieb an einem deutschen Standort tätig sind.
Beide Merkmale zur zweckmäßigen Verwendung von Daten können Sie in einem kontextabhängigen Berechtigungskonzept in SAP ERP HRM berücksichtigen.
Full-Service: EU-DSGVO im HCM-Bereich umsetzen
Machen Sie mit unserem Angebot Ihr Personalsystem langfristig und ohne großen Eigenaufwand EU-DSGVO-konform – und vermeiden Sie so hohe Strafgebühren.
2) Die zeitlich begrenzte Verwendung von Daten
Bei der zeitabhängigen Sperre geht es um die Frage, welche Nutzer der 
Personalverwaltung welche Mitarbeiterdaten wie lange einsehen und verarbeiten dürfen. Ein einheitliches Szenario für eine zeitlich begrenzte Datenverwendung je nach Art der Nutzung könnte wie im folgenden Beispiel aussehen: Mitarbeiter im HR Shared Service sollen Daten bis zu 18 Monate in die Vergangenheit sehen können. Anschließend sind die Daten für die Nutzer gesperrt. Für einen Personalreferenten kommt die entsprechende Sperre nach 36 Monaten zu trage. Für Mitarbeiter der Gehaltsabrechnung nach 60 Monaten. Einzig der Datenschutzbeauftrage kann (im Falle von Untersuchungen) alle gespeicherten Mitarbeiterdaten in SAP ERP HCM einsehen. Eine genaue Vorgabe, wie lange die Daten von wem eingesehen werden dürfen ist gesetzlich nicht geregelt. Jedoch müssen Sie eine einheitliche Regelung für die Sperrung von Daten implementieren. Damit soll sichergestellt werden, dass Nutzer nur so lange personenbezogene Daten im System einsehen können, wie es für die Erledigung Ihrer Aufgaben notwendig ist. Die entsprechenden Datensperren können Sie mit Hilfe von Anpassungen am SAP System implementieren.
3) Das Löschen von Daten aus dem ERP System nach Mitarbeiteraustritt
Tritt ein Mitarbeiter aus dem Unternehmen aus, so müssen Sie seine personenbezogenen Daten löschen. Zum einen gibt es Informationen, die Sie unverzüglich löschen müssen, zum Beispiel die An- und Abwesenheitsdaten des Mitarbeiters. Andere Informationen, zum Beispiel Abrechnungsergebnisse, unterliegen einer gesetzlichen Aufbewahrungsfrist. Diese Daten sollten Sie daher archivieren und erst nach Ablauf dieser Frist löschen. Zur effektiven und effizienten Umsetzung der Vorgaben zur Datenlöschung wird ein einheitlicher Informationslebenszyklus mit Unterstützung durch das SAP System empfohlen.
Bei der Anpassung des SAP Systems bezüglich der EU-Datenschutz-Grundverordnung stehen Ihnen mehrere konkrete Werkzeuge zur Verfügung. Bei der Implementierung dieser Werkzeuge stehen wir Ihnen gerne als Berater und Entwickler zur Verfügung.
